Accéder au réseau d'entreprise à partir de chez soi

Ktamine · Le 12/08/2008, à 14:16

a ok moi je me suis renseigné le mien ne laisse pas entré les "requêtes" VPN je ne sais pas pourquoi...

Jcpas · Le 12/08/2008, à 14:30

Ah oki tu t'es renseigné sur le forum Netgear ?

Ktamine · Le 12/08/2008, à 18:10

ba je ne sais plus où j'avais vu ça exactement je vais tenter de retrouver ça

TeddyTheBest · Le 13/08/2008, à 08:46

Au fait, jpcas, les commandes de forwarding dans IP Tables sur le port 1194 que je t'ai données ont fonctionné chez toi, à priori ???

A première vu, tu a modifiés quelques petites options ; par exemple, à la place de -o eth0 seulement, tu as rajouté -s adresse_ip_serveur pour le Postrouting mais je vois que tu n'as pas utilisé le Prérouting. Est-ce normal ?

@Ktamine
As tu jetté un oeuil à l'adresse http://tuto.netgear-forum.com/Tutorial_VPN.pdf ?
Ou mieux, sur le site Netgear à l'adresse http://www.netgear.com/Products/Softwar … tware.aspx ?

Dernière modification par TeddyTheBest (Le 13/08/2008, à 08:53)

Jcpas · Le 13/08/2008, à 09:52

Oui Teddy je n'ai pas utilisé le Prérouting. J'avais vu dans la doc openVPN il me semble comment faire et ils ne montraient que la commande Postrouting.
Je viens d'essayer avec la commande Prérouting mais je n'arrive toujours pas à pinger ma machine perso avec son ip privé (pas celle du vpn). En faisant un tracert (à partir de winXP) je vois que la requête passe par la passerelle (qui est mon routeur Netgear en 192.168.0.254) puis par 192.168.0.10 (qui est mon serveur VPN) puis les deux machines se renvoient la balle.
Sur mon routeur Netgear, j'ai définit une route statique vers 192.168.0.10 des paquets à destination du réseau 192.168.1.0.
La passerelle renvoie donc bien vers mon serveur VPN. Je pense donc que le problème vient de mon serveur VPN qui renvoie le paquet vers sa passerelle.
Je ne sais pas si je me suis bien expliqué mais je met un petit schéma :

pc de l'entreprise <--> routeur Netgear (passerelle) <--> serveur vpn <--> client vpn
192.168.0.35 192.168.0.254 192.168.0.10
192.168.2.1 192.168.2.6
192.168.1.1

Je n'ai pas mis Internet entre le serveur VPN et le client VPN.
Je vais peut-être essayer en faisant un VPN bridgé.

Dernière modification par Jcpas (Le 13/08/2008, à 09:54)

==DerDave== · Le 14/08/2008, à 05:24

Hé ! Bonjour !
Vous en êtes où avec OpenVPN et les pings vers les machines côté entreprise ?
Ca fonctionne ou bien ?

essaie un truc du genre :
- effacer toutes les règles iptables
- faire du MASQUERADING pour les paquets provenant du tunnel vers le LAN entreprise

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -s 192.168.2.0/24 -i tun0 -o eth0 -p tcp -j ACCEPT

Je ne pense pas que ton serveur VPN ne renvoie quoi que ce soit au Netgear, vu qu'il connait les routes.
Par contre, la raison pour laquelle ta config ne fonctionne pas, c'est que tu fais du forwarding entre deux réseaux, mais seul ton "pc perso" connait la route vers 192.168.0.0, grâce au push "route ...". Les machines reçoivent sans doute tes ICMP-REQUESTs, mais elle n'ont pas de route vers 192.168.2.0 (IP source du paquet ICMP). Donc elles renvoient la réponse au Netgear (si celui-ci est leur passerelle par défaut). Une solution serait de mettre une route statique dans le Netgear vers 192.168.2.0 avec comme passerelle l'IP du serveur openVPN... Mais dans ton cas, la solution du MASQUERADING est meilleure, enfin plus simple.... Le serveur remplace l'ip source par son ip côté LAN entreprise, donc les machines répondent directement au serveur VPN qui n'a plus qu'à refiler le tout à "pc perso"...

En espérant que j'ai été clair... Bon courage ! Le réseau c'est parfois compliqué à cerner, mais ça vaut le coup de s'accrocher, c'est souvent plus simple qu'il n'y paraît...

Jcpas · Le 19/08/2008, à 10:08

Oups désolé je n'avais pas tu m'avais répondu. Je pensais être abonné au sujet.
En ce moment j'essaie de faire un VPN Bridged.
Du coté de mon pc perso, j'arrive à me connecter au serveur vpn, j'ai bien mon ip du style 192.168.0.x mais je n'arrive pas à pinguer le serveur vpn.
J'ai bien créé le pont sur le serveur comme expliqué sur le site officiel.
Mais je ne peux pas testé en direct puisque ca fait deux jours que j'oublie d'allumer mon pc perso donc je ne peux pas y accéder par ssh.
En tout cas merci beaucoup.
Je donnerai l'avancé de mes aventures.

Ktamine · Le 19/08/2008, à 18:54

@TeddyTheBest: oui en effet tes liens ont confirmé ce que je pensais: mon routeur ne gère pas directement le VPN mais il m'est toujours possible d'en mettre un en place "manuellement" si on peut dire

zebiker · Le 07/02/2009, à 00:15

Bonjour à tous, je remet ca sur la table:
Pour un projet je dois faire un vpn entre 2 machines:

Le but est qte Bob puiss pinger Marc et Alice
J'ai bien lu tout ce que vous avez fait pour le moment, mais un probleme persiste: ca ne marche pas chez moi.
Pour les tests, je suis en machine virtuelle, donc je fais des tests que entre Bob et le serveur.
ceci marche tres bien, tant que je ne commente

push "route 192.168.0.0 255.255.255.0"

Si cette ligne est commentée, je ping du client le serveur 10.8.0.1 nikel, via le VPN
Mais si je ping 192.168.0.1 (le serveur), le ping n'est pas dans le VPN

Or lorsque je décommente la ligne

push "route 192.168.0.0 255.255.255.0"

(Pour lui donner la route à prendre donc), aucun ping ne marche, dans aucun sens

Voici mes confs

Mon serveur.conf (Ubuntu, le serveur VPN)

port 1194
proto udp
dev tun
ca ca.crt
cert Asterisk.crt
key Asterisk.key  # This file should be kept secret
# Diffie hellman parameters.
dh dh1024.pem
# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
server 10.8.0.0 255.255.255.0
;push "route 192.168.0.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Mon client.conf (Windows XP)

client
dev tun
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
dev-node VPN
proto udp
# The hostname/IP and port of the server.
remote 192.168.0.1 1194
resolv-retry infinite
# Most clients don't need to bind to
# a specific local port number.
nobind
# Try to preserve some state across restarts.
persist-key
persist-tun
# SSL/TLS parms.
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

Je sait que cette topologie est un peu stupide, mais c'est pour un projet. Quoi qu'il arrive, le lien entre Bob et le serveur doit être sous VPN
Voila ca fait plusieurs jours que je suis là dessus, j'en ai lu des montagnes tant aen anglais/francais, et je trouve rien qui puisse m'aider
PS: ip forward est à 1 sur le serveur

zebiker · Le 20/02/2009, à 20:03

bon je m'auto répond, en espérant que ca servira à quelqu'un un jour.
Déjà mon test ça pouvait pas marcher correctement puisque j'avais qu'un seul routeur et 2 réseaux privés.
En fait ce que j'essayais de faire est de faire passer le trafic entre le PC et le routeur dans le tunnel, soit le tunnel dans lui-même, donc le client ne pouvait plus router aucun trafic.
Ensuite un autre truc que j'ai appris à mes dépends est que les 2 réseaux distants (séparés par 2 routeurs) ne peuvent pas avoir les mêmes adresses.
Sinon, impossible de router le trafic du réseau 1 au réseau2, puisque les requêtes n'iront pas vers la passerelle.

Peut être que c'était évident, mais bon j'ai jamais eu de cours / formation sur les VPN alors merci quand meme

++

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 12/08/2008, à 14:16

Re : Accéder au réseau d'entreprise à partir de chez soi

#27 Le 12/08/2008, à 14:30

Re : Accéder au réseau d'entreprise à partir de chez soi

#28 Le 12/08/2008, à 18:10

Re : Accéder au réseau d'entreprise à partir de chez soi

#29 Le 13/08/2008, à 08:46

Re : Accéder au réseau d'entreprise à partir de chez soi

#30 Le 13/08/2008, à 09:52

Re : Accéder au réseau d'entreprise à partir de chez soi

#31 Le 14/08/2008, à 05:24

Re : Accéder au réseau d'entreprise à partir de chez soi

#32 Le 19/08/2008, à 10:08

Re : Accéder au réseau d'entreprise à partir de chez soi

#33 Le 19/08/2008, à 18:54

Re : Accéder au réseau d'entreprise à partir de chez soi

#34 Le 07/02/2009, à 00:15

Re : Accéder au réseau d'entreprise à partir de chez soi

#35 Le 20/02/2009, à 20:03

Re : Accéder au réseau d'entreprise à partir de chez soi

Pied de page des forums